Уязвимость React2Shell в действии — неаутентифицированное выполнение кода без сохранения изменени... скачать в хорошем качестве

Уязвимость React2Shell в действии — неаутентифицированное выполнение кода без сохранения изменени...

🔔 Будьте в курсе последних новостей в области кибербезопасности — подпишитесь и включите уведомления! В сегодняшнем видео мы подробно рассмотрим совершенно новую уязвимость React2Shell (CVE-2025-55182), критическую уязвимость удаленного выполнения кода без аутентификации, затрагивающую приложения React и Next.js. Эта уязвимость CVSS 10.0 RCE серьезно ударила по миру кибербезопасности — и CTF PerfectRoot выпустил задание, использующее её, всего через несколько дней после её обнаружения. В этом пошаговом руководстве я разберу: Что такое React2Shell на самом деле Как работает небезопасная десериализация внутри DOM React Как определить уязвимые приложения Next.js/React Как создать и отправить рабочую полезную нагрузку для эксплойта серверного компонента React. Как безопасно протестировать уязвимость внутри PerfectRoot CTF Почему эта уязвимость RCE так опасна (нет cookie, нет аутентификации, полная RCE) Что должны сделать разработчики и защитники, чтобы смягчить её последствия Мы также рассмотрим доказательство концепции (PoC), отладим проблемы с полезной нагрузкой, сравним полезные нагрузки сообщества с рабочим эксплойтом TryHackMe и, наконец, добьёмся удалённого выполнения кода для получения флага. React2Shell — это критическая уязвимость RCE без аутентификации, вызванная небезопасной десериализацией в серверных компонентах React DOM. Любое устаревшее приложение React/Next.js, поддерживающее RSC, может быть скомпрометировано без аутентификации. 🚨 Эта уязвимость уже используется в реальных условиях, поэтому убедитесь, что вы как можно скорее обновили React, React DOM и Next.js. Основные выводы: Анализ заголовков сервера и дерева состояний маршрутизатора Понимание уязвимых компонентов React Server Почему некоторые полезные нагрузки не срабатывают (тайм-ауты, отсутствие заголовков, песочница) Использование полезной нагрузки TryHackMe для надежного выполнения удаленного выполнения (RCE) Извлечение идентификатора процесса машины и чтение флага Влияние на безопасность и почему CVE-2025-55182 настолько серьезна Главы: 00:00 Введение 00:30 Реакция на ClassifiedReaction Информация о React2Shell: https://react2shell.com Блог Rapid7: https://www.rapid7.com/blog/post/etr-... 🎥 Подкаст What Makes You Different:    • What Makes You Different Podcast   Подписывайтесь на нас везде: 🌐 Веб-сайт: https://mresecurity.com 🔗 LinkedIn:   / mresecurity   📘 Facebook:   / mresecure   📸 Instagram:   / mresecurity   Discord-сервер Republic of Hackers:   / discord   Отказ от ответственности: Это видео предназначено только для образовательных целей. Оно демонстрирует методы этичного хакинга для повышения кибербезопасности, и MRE Security не несет ответственности за то, как зрители решат использовать эту информацию. #кибербезопасность #тестированиенапроникновение #сетеваябезопасность #уязвимости #сертификации #информационнаябезопасность #тестированиенапроникновение #сертификации #кибер #безопасность